来源:https://docs.house.gov/billsthisweek/20180723/CRPT-115hrpt863.pdf[...] 约翰S。麦凯恩
国防授权法
2019财年
会议报告陪伴H.R.5515秒。1636.美国网络空间,网络安全,网络战和网络威慑政策。
(a)一般来说,它是美国的政策,关于与网络空间,网络安全和网络战争有关的事项,美国应该雇用所有国家权力文书,包括使用进攻网络能力,妨碍如果可能的话,并在必要时响应,所有网络攻击或其他恶意网络活动的外国权力,目标是美国兴趣的意图 -
(1) 造成美国人员或美国盟国人员伤亡;
(b) 应对方案。——在执行第(a)小节规定的政策时,美国应规划、制定并在适当情况下展示应对方案,以应对美国潜在对手可能对美国利益实施的各种潜在网络攻击。
(2)大大扰乱美国民主社会或政府的正常运作(包括对可能损害用于为公众或政府提供关键服务的系统的攻击);
(3)威胁着武装部队的指挥和控制,武装部队的机动自由,或美国武装部队依赖美国武装部队依赖美国利益和承诺的工业基础或其他基础设施;或者
(4)达到效果,无论是单独还是汇总,都与武装攻击或威胁到美国的重要兴趣。
(c)拒绝期权.-通过根据第(b)款所开发的答复备份,在其实方面,在可行的方面,在可行的方案中,优先考虑对网络攻击的可靠性和弹性优先考虑对网络攻击的可靠性和弹性的答复备选方案对政治诚信,经济安全和国家安全至关重要的基础设施的基础设施(a)款中描述的恶意网络活动。
(d)成本征收方案.-通过根据第(b)款所开发的答复备份进行(a)款规定的政策,美国应当适当,展示或以其他方式发挥对面网络能力的存在,以针对美国或美国的任何外国权力施加成本,其中包括在第(a)款中描述的网络攻击或恶意网络活动。
(e) 多管齐下的应对。——在通过根据第(b)小节制定的应对方案执行第(a)小节规定的政策时,美国应利用所有国家权力工具。
(f) 总统政策的最新进展-
(1)一般来说。 - 不迟于颁布本法案后180天,总统应当酌情转交,以酌情向适当的国会委员会提供申请向提供的报告更新的报告to the Congress on the policy of the United States on cyberspace, cybersecurity, and cyber warfare pursuant to section 1633 of the National Defense Authorization Act for Fiscal Year 2018 (Public Law 115–91; 10 U.S.C. 130g note).
(2)内容.-第(1)款所需的报告应包括以下内容:
(a)对网络空间的当前姿势进行评估,包括评估 -
(f)建设规则。 - 本款中的任何内容都可能被解释为限制总统或国会授权使用军事力量的权力。
(i)过去对主要网络攻击的反应是否具有所需的威慑效果;和
(b)更新政府在发展方面的努力 -
(ii)对过去美国的反应有何回应。
(i) 成本征收策略;
(C) 与行政当局的计划有关的资料,包括具体的计划行动、条例和所需的立法行动-
(ii)迄今为止采取的网络侵染水平和迄今为止所采取的步骤的步骤(i)条例所提出的征收;和
(三)网络威慑倡议。
(i) 在全社会范围内推进归因技术、固有安全技术和人工智能技术;
二改善私营部门的网络安全和与私营部门的合作;
(iii)改善国际网络安全合作;和
(iv)实施第(1)段所提到的政策,包括要求大幅度的政府或政府职责的任何调整。
(g)定义 - 在本节中:
(1)适当的国会委员会.-“适当的国会委员会”一词意味着 -
(A) 国会国防委员会;
(2)外国权力.-术语“外国权力”在1978年“外国情报监测法”第101条第101条(50 U.S.1801)第101条中有意思。
(B) 众议院情报常设特别委员会;
(c)参议院智力委员会;
(d)国内安全委员会和代表院司法委员会外交部委会和司法委员会;和
(E) 外交关系委员会;
国土安全和政府事务委员会;和参议院司法委员会委员会。
美国关于网络空间、网络安全、网络战和网络威慑的政策。1636)
参议院修正案载有一项规定(第1621号),将建立与网络空间,网络安全和网络战区的美国政策。参议院修正案载有另外一项规定(第6601号),将修订第1621条,以缩小政策的处方,仅适用于国外权力的网络攻击和恶意网络活动。
众议院的法案没有类似的规定。
众议院通过一项修正案退场,该修正案将整合这两项规定,并对政策声明作出微小修改,突出了美国在执行这项政策和网络空间主权政策方面的优先事项。根据《2018财年国防授权法》(第115-91号公法)第1633节,该修正案还要求更新提交国会的总统政策。
请注意,向国会提交的政策不完整。在回答国防授权法案的报告要求时,为6页备忘录介绍了一份以响应的执行订单13800撰写的63页报告。对前者的简洁和后者的大量物品感到失望得到解决。该报告简化了对政策制定过程的难度选择的几点思考,而是建议进一步的工作组,工作队和审议,以制定和实施网络空间的国家战略。
因此,与会者希望了解报告建议的核心举措的最新进展情况:制定成本征收政策、后果菜单、政策规划指南和网络威慑举措。
在报告这些倡议的情况时,与会者敦促总统在可能的情况下,在必要时列入并加以分类保护:(1)行政当局的计划,包括制定这些计划所需的具体计划行动、条例和立法行动(2) 迄今为止为准备在网络空间(如零日发现、工具开发和恶意软件前置)和通过其他国家权力工具对俄罗斯联邦、中华人民共和国、朝鲜民主主义人民共和国和伊朗伊斯兰共和国施加后果而采取的步骤;以及(3)特定后果的使用标准,包括响应性网络攻击何时可能特别升级,响应性网络攻击何时,特别是针对哪些对手,作为威慑手段可能特别有效的标准,至于因应对行动而升级的风险和后果何时超过不采取行动或仅通过财政、执法和外交手段采取行动的风险和成本。
与会者还敦促总统将政府的考虑和决定包括在内:(1)所有重大后果低于战争阈值的网络攻击是否需要回应(2) 对关键基础设施以外的私营部门公司的重大攻击是否需要响应,包括对可能引起响应的公司的攻击的例子(3) 在某些情况下,美国是否应为实现完全技术归属而赋予即时性特权(4) 在什么情况下,美国应试图通过实时攻击性网络行动,包括此类情况的例子,来削弱、使其无效或挫败检测到的攻击(5) 美国如何平衡在网络空间建立稳定的规范和作出反应的进攻行动,包括通过外交手段(6) 美国如何平衡其基础设施承载或容纳对手恶意软件过境的第三方国家的主权和公平,包括可行和不可行行动的例子;以及(7)美国如何平衡隐私、行动自由和市场经济隐含的价值观,对私营部门实施网络安全和披露要求,包括评估现行法律法规的充分性。